Я пытаюсь определить, возможно ли иметь два контроллера домена Active Directory, работающих в одной сети, в одной подсети с двумя отдельными доменами. Я не хочу, чтобы эти два контроллера домена были связаны каким-либо образом (учетные записи и т. Д.), За исключением переключателя, который я их соединяю.
Сейчас меня беспокоит DNS - для меня это основная проблема. Поскольку у меня есть один DHCP-сервер, обслуживающий всю сеть, я хочу, чтобы всем клиентам был выдан один набор IP-адресов DNS-серверов. Однако DNS-сервер DomainA не сможет отвечать на запросы DomainB и так далее.
Я предполагаю, что это может быть решено с помощью пересылки - IE, я мог бы установить IP-адреса обоих DNS-серверов в моей конфигурации DHCP, а затем сообщить DomainA о пересылке запросов для * .DomainB в DNS DomainB и наоборот. Я также мог бы использовать единую агрегацию, которая должным образом перенаправляет запросы на отдельные серверы.
Однако я не знаю, сработает ли это, или есть лучший вариант. Если бы это была бизнес-сеть, я бы пошел дальше и настроил VLANS, несколько DHCP-серверов и т. Д. Однако я ищу простоту (настолько простую, насколько вы можете достичь с помощью контроллера домена в вашем доме ...)
Причина использования двух контроллеров домена в одной сети? Я провожу лабораторию у себя дома, и теперь я убедил человека, с которым живу, запустить собственный контроллер домена. Однако я хочу хранить все отдельно по соображениям безопасности.
Любая помощь приветствуется.
Два домена не будут мешать друг другу в одной сети. Между ними не будет установлено доверия, если вы не установите его вручную.
Проблема DHCP является допустимой точкой, и ваше потенциальное исправление правильное - вы можете передать DNS-адрес одного домена через DHCP и использовать пересылку для разрешения пространства имен другого домена. Альтернативным исправлением может быть ручная настройка сети для клиентов в одном из доменов и указание их DNS вручную на правильный контроллер домена. Вы можете оставить клиента другого домена работать с DHCP.
У нас есть несколько подсетей, которые используются для внутреннего тестирования, и в них работает более 5 различных доменов, никаких серьезных проблем.
Я только что закончил делать это для сценария миграции. Это сработало ... вроде.
Остерегайтесь суффикса доменного имени. Если вы укажете один из них, клиентам будет сложно разрешить некоторые имена хостов. Так что не указывайте ни одного. Таким образом, клиенты будут разрешать имена хостов в зависимости от домена, к которому они присоединены.
Кроме того, просто правильно настройте серверы условной пересылки DNS, и все будет в порядке.
У меня был довольно длинный напечатанный ответ, почему вам не следует идти по этой дороге, а затем я перечитал ваш вопрос и увидел ту часть, где вы сказали, что это находится в вашем доме, поэтому вот мой исправленный ответ:
Назначьте DNS-серверы только одного домена через DHCP. На этих DNS-серверах установите серверы условной пересылки для другого домена или создайте зону-заглушку для другого домена.
Я этого не делал, поэтому я не уверен на 100%, что это сработает, но я не могу придумать никаких причин, по которым это не сработает.
Я рекомендую перенести службы DNS в систему Linux. Домены Windows - это не то же самое, что домены Интернета, но я вижу, что клиенты все время путают это.
И чем менее уязвима ваша среда Windows для доступа в Интернет, тем вы будете счастливее.